mobile application penetration testing tools service providers
En trinvis vejledning til pen-test af en mobil applikation (med værktøjer og serviceudbydere):
For et årti siden begyndte vi alle at forstå IT-branchen på grund af teknologiens udvikling, og det var tiden, vi alle fik at vide om, hvordan og hvad der kunne gøres ved hjælp af computersystemer.
Langsomt blev det muligt at overføre penge online ved hjælp af internettet i stedet for at besøge banken personligt og vente i kø for at udføre en transaktion. På grund af en sådan efterspørgsel begyndte alle bankerne at operere online.
Men følte vi os alle trygge og sikrede ved hjælp af denne funktion lige fra starten, svaret, som de fleste af os ville sige er 'NEJ'.
Når det kommer til pengesager, tænker vi alle to gange.
Når noget er nystartet, vil vi sikre, at det er sikret i alle henseender, alle de websteder, vi bruger i dag, gennemgår flere lag af sikkerhedskontrol, før de udsættes for offentligheden. Nu ændrer trenden sig igen, og vi ønsker, at alt skal ske ved et klik på en knap, som kun er muligt ved hjælp af Mobile Apps.
Hvordan sikrer du, at alle de mobile apps, du downloader fra Play Store eller iStore, er sikre at bruge? Med enhver download kommer risikoen for ondsindede angreb. Af samme grund og for at sikre, at deres app foretrækkes frem for andre, bør appudviklerne sikre, at deres apps er sikkerhedstestede, inden de faktisk offentliggør den til download.
Denne artikel vil orientere dig om de typer mobilapps, hvad der kan forventes af penetrationstest af mobilapps, hvordan kan testen udføres, tjenesteudbydere, der tilbyder tjenester til mobilapptest og en liste over nogle værktøjer, der kan bruges til testning.
Hvad du vil lære:
- Mobilapps og deres typer
- Tjenesteudbydere til testning af mobilapptest
- Værktøjer til testning af mobilapp-penetration
- Få populære dummy sårbare mobilapps
- Hvad skal du forvente af din test?
- Trin til penetrationstest Mobile Apps
- Konklusion
- Anbefalet læsning
Mobilapps og deres typer
Før vi går dybt omkring hvordan pen test en mobilapp , er det meget vigtigt at sikre, at du har en vis baggrundsviden om Mobile Apps.
Lad os forstå de forskellige typer mobilapps.
grænseværdianalyse og ækvivalenspartitionering
# 1) Native mobilapplikation
Native App betyder de apps, der er oprettet til en bestemt platform som iOS eller Android, specifikt skrevet på et bestemt programmeringssprog, og de kan installeres fra de respektive butikker som Googles play store eller Apples app store. De tilbyder den mest brugervenlige oplevelse og kan betjenes ved blot at klikke på ikonet.
Nogle gode eksempler af indfødte apps er Facebook, Instagram, Angry Birds osv.
Det eneste problem er, at disse apps ikke fungerer med alle typer enheder, som hvis der oprettes en app til Android, fungerer den ikke på iOS og omvendt. Native Apps kan også arbejde uden internetforbindelse.
# 2) Mobil browserbaseret applikation / mobilwebapps
Mobile webapps er dybest set apps, der kører i en browser, og de er enhedsuafhængige.
Den samme app kan køres ved hjælp af en iOS-enhed eller en Android-smartphone. Disse apps er for det meste skrevet i HTML5. De er lette at blive offentliggjort, fordi det ikke har brug for tilladelse fra Google eller Apple for at tillade dem i deres butik.
Webapps kan downloades direkte ved hjælp af downloadknappen, der er tilgængelig på deres berørte websteder. Et typisk eksempel ville være vores indkøbssider som Flipkart, Amazon osv.
# 3) Mobil hybrid applikation
Dette er applikationerne, der er delvist native og delvis ikke-native. De kan downloades fra butikkerne og køres i browseren.
Fordelen ved at udvikle denne type apps er, at den understøtter udvikling på tværs af platforme og dermed reducerer de samlede udviklingsomkostninger, hvilket betyder, at det gør det muligt at genbruge den samme kodekomponent på en anden enhed. Disse apps kan også udvikles hurtigt.
Derudover giver hybrid mobile apps dig mulighed for at få funktionerne i både native og webapps.
Tjenesteudbydere til testning af mobilapptest
Vores anbefaling
# 1) Kryptering
Kryptering er en af de bedste Mobile App Pen Testing Service Provider. Det er kendt som et globalt sikkerhedsfirma, der tilbyder højeffektive SOC I- og SOC II Type 2-certificerede administrerede sikkerheds- og konsulenttjenester.
Hovedkvarter: Miami, USA
Grundlagt: 2000
Medarbejdere: 300
Omsætning: $ 20- $ 50 mio
Kernetjenester: Penetrationstest og etiske hackingtjenester, sårbarhedsvurdering, risiko og vurdering, PCI-vurdering og rådgivning, softwaresikkerhedsforsikring, trusselmonitorering osv.
Funktioner:
- Det hjælper systemet med at forsvare sig mod avancerede trusler, mens det håndterer risici.
- Cipher tilbyder effektive og innovative løsninger for at sikre systemoverholdelse.
- Det leverer beskyttede og specialiserede sikkerhedstjenester til alle tilknyttede organisationer.
Få andre tjenesteudbydere:
- Appsec
- Procheckup
- Praetorian
- Cigital
- Wesecureapp
- Netspi
- CyberChops
- App-stråle
- Jumpsec
- Sciencesoft
Værktøjer til testning af mobilapp-penetration
- Core Impact Pro (Android, iOS og Windows)
- zANTI (Android)
- Ianalyzer (iOS)
- DVIA (iOS)
Andre værktøjer:
- Port Scanner (Android)
- Fing (Android og iOS)
- DroidSheep (Android)
- Intercepter-NG (Android)
- Nessus (Android)
- Droid SQLi (Android)
- Orweb (Android)
Få populære dummy sårbare mobilapps
Generelt er der nogle velkendte sårbare mobilapplikationer, der er oprettet for at give brugerne en idé om mobil testning. Disse apps har sårbarheder, der er forsætlige for at hjælpe brugerne / testerne med at øve og forbedre deres pen-testkendskab.
Du kan henvise til iMAS, GoatDroid, DVIA, MobiSec:
Hvad skal du forvente af din test?
Årsagen til testning er at finde ud af så mange problemer, som vi kan, og at sikre, at problemerne findes, før det rent faktisk påvirker slutbrugerne. Hovedårsagen til at få et mobilsikkerhedsproblem er, at udviklere ønsker at oprette mere nyttige apps end sikrede apps, og der er chancer for manglende sikkerhedsbevidsthed, mens de udvikler apps.
I dette afsnit vil jeg føre dig gennem nogle sårbarheder / sikkerhedsfejl, som du skal se ud som en del af testen.
Almindelige sikkerhedsfejl at se efter:
1) Datalagringsformat :Det hele afhænger af det format, hvor dataene er gemt. Uanset om det er i almindelig tekst eller andre formater. Til For eksempel ., Android gemmer brugernavnet og adgangskoden i almindelig tekst, hvilket igen gør det mere sårbart.
2) Lagrede følsomme data :Nogle gange udvikler hardcode-adgangskoder eller gemmer følsomme oplysninger, som let kan blive kompromitteret.
3) Dårlige kodningsmetoder: Brug af åbent SSL-bibliotek, der er sårbart over for FREAK-angreb, er en af de ting, man skal kontrollere.
4) Datakryptering: Det er vigtigt at sikre, at datatransmissionen sker på en sikker måde, og at de lagrede data krypteres.
5) Oprettelse af svag adgangskode: Apps skal have en mekanisme til at kontrollere adgangskodestyrke. Svage adgangskoder er altid sårbare over for angreb.
6) Datasynkronisering: Overførsel af data eller datasynkronisering skal ske via en sikker metode. Den måde, hvorpå data transmitteres eller synkroniseres med skyen, kan føre til angreb og dermed medføre datatab.
Test af en mobilapp er stadig en udfordring sammenlignet med webtest, da mobilapps er ret nye på markedet, og vi ikke har flere scannere tilgængelige som på nettet, og vi opretter stadig snydeark eller kommer med måder at scanne og har mere sikre mobilapps oprettet til slutbrugerne.
Trin til penetrationstest Mobile Apps
Der er visse trin involveret i pen-test af mobilapps.
De er:
# 1) Opsætning af testmiljø
Opsætning af testmiljø er en proces i sig selv og kan være et separat emne til læsning :)
Jeg har ikke nævnt mange detaljer om opsætning af et testmiljø her, fordi det vil variere afhængigt af testen. Jeg har lige inkluderet det her, fordi jeg ikke helt vil gå glip af dette trin.
Nogle af testene kan udføres på en rigtig enhed, mens nogle kan udføres på emulatorer. Det adskiller sig også afhængigt af hvilken platform vi planlægger at teste, for Android-applikationer, vi muligvis har brug for at installere SDK'er, og for iOS kræver vi jailbreaking.
# 2) Opdag / applikationsforståelse
Hver mobilapplikation fungerer forskelligt, så det allerførste trin i din test bør være at finde eller finde ud af mere information om den applikation, der testes. Dette bør også omfatte at identificere, hvordan applikationen opretter forbindelse til OS og back-end-serveren.
Det skal omfatte kontrol af anvendte biblioteker, bedre forståelse af platformen og at finde ud af, om applikationen er en native / web / hybrid-type. Dette trin kan også kaldes som Trin til informationsindsamling .
# 3) Applikationsanalyse / vurdering
Som en del af dette trin skal du installere applikationen på den mobile enhed og tage et øjebliksbillede af filsystemet og registreringsdatabasen før og efter installationen.
Analyser de tilgængelige oplysninger for at identificere svaghedsområderne, og som kan udnyttes, som at forstå, hvordan følsomme oplysninger lagres, hvordan data overføres, hvordan interaktion med tredjepart finder sted osv.
# 4) Reverse Engineering
Dette kræves, hvis testeren ikke har kildekoden. Kodegennemgang planlægges for at forstå, hvordan applikationen fungerer internt. Hensigten med at gøre dette er at søge efter sårbarheder.
# 5) Trafikaflytning
I dette trin skal du konfigurere enheden til at rute gennem en proxy, hvilket igen skal hjælpe med at opfange trafik og finde ud af fejlene som injektions- eller autorisationsproblemer.
# 6) Udnyttelse
Når analysen og proxyindstillingen er udført, kan udnyttelse ske, hvor du opfører dig som en hacker, simulerer angreb og prøver at kompromittere systemet.
Udnyt systemet og udfør ondsindede aktiviteter.
# 7) Rapportering
Ovenstående trin udgør det vigtigste teststrin, så det sidste trin skal være at udarbejde en rapport, der nævner alle resultaterne. En god rapport bør bestå af detaljer om alle de sårbarheder, der findes sammen med den forretningsmæssige og tekniske risikovurderingsscore.
Et andet vigtigt punkt, der kan nævnes, er anbefalingen til rettelsen.
Konklusion
Håber, at I alle nød at læse denne artikel om test af mobilapp-penne. Efter min mening er mobilitetstest stadig et område, der ikke er blevet udforsket fuldstændigt.
Vi kan dog betragte dette som at have medført en ændring og give os en mulighed for at genoverveje vores kapaciteter og begynde at tænke ud af kassen og adskiller sig fra vores traditionelle testtilgang. Udviklere sætter deres kreativitet og kommer med forskellige variationer af apps, så selv vi som testere har meget mere at gøre!
bedste gratis Windows 10 vedligeholdelsessoftware
Håber du ville have fået en god indsigt i værktøjer og serviceudbydere til test af mobilapppenetration !!
Anbefalet læsning
- Cloud Performance Testing: Cloud-Based Load Testing Service Providers
- TOPP 10 Managed Testing Services Company i 2021
- Begyndervejledning til penetrationstest af webapplikationer
- Vejledning til test af test af mobilapplikationer
- Cloudbaseret mobilapplikationstest: En komplet oversigt
- Top 10 selskaber inden for mobil testtjenesteudbydere
- Bedste softwaretestværktøjer 2021 (QA Test Automation Tools)
- Forskel mellem Desktop, Client Server Testing og Web Testing